本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
若気の至りも帳消しに?「忘れられる権利」

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマは、EUの個人データ保護規則案に登場した「忘れられる権利」。SNSをはじめITサービスが収集・蓄積する膨大な個人データの何を守り、どう利活用できるのかについて重大な問題提起となりました。若い頃に思わず投稿してしまい、今になって後悔している“しまった”投稿も、ネット上から削除してくれる時代がやってくるかも。規則案は審議中ですが、結果はどうあれ、今後も絶対に忘れたくないキーワードです!

1.「忘れられる権利」とは?

SNSなど各種オンラインサービスが保有する自分の個人データについて、サービス業者に申請すれば削除と頒布中止を求められる権利のこと。2012年1月に公表された「EUデータ保護規則案」(関連するキーワード参照)の条文に盛り込まれた言葉「rights to be forgotten」の訳語。

1-1.「忘れられる」ってどういうこと?

SNSに投稿した自分のプロフィールやプライバシーにかかわる情報は、登録/投稿時には公表したいと思っていても、あとで「しまった」と思うことは多いもの。あわてて削除しても、すでにその内容が他のサイトにコピーされ、さらに別のサイトがリンクを張っていても不思議はない。子どもの頃に書き込んだ内容が、分別ある大人になってみると恥ずかしくて仕方がないこともあるだろう。そのような場合にSNS業者側に個人データを消去してもらえることを、法的な拘束力をもって保障するのが「忘れられる権利」だ。

データ利用の同意撤回や期限切れで、業者がデータを消去してくれる仕組み

このキーワードは、EUデータ保護規則案の「第17条 忘れられる権利と消去する権利」という条項に登場して注目された。この規則案は、1995年に採択され98年に発効した「EUデータ保護指令」の改定版で、採択当時には想像できなかったグローバルなインターネットサービスの進歩などIT環境変化に適合するように、個人情報保護のあり方を見直すものだ(現在審議中)。
 例えば「指令」のほうでは個人情報が不正に収集された場合や、内容が正しくない場合にしか削除してもらう権利が認められていない(「指令」の影響を受けて編まれた日本の個人情報保護法もこれは同様)が、「規則案」ではそれに加えて本人がデータ利用の同意を撤回したり、同意した保有期間の期限が切れたときには管理者に消去してもらう権利を保障しようとしている。
 また第18条ではSNS利用者が他のサービスに乗り換える際に、管理者に妨害されることなく自分の個人データを一定のフォーマットで入手し、他のサービスに移転する権利も保障することも謳っている(データポータビリティ)。
 これらが「忘れられる権利」のポイントだが、実は当初は「個人データのコピーやリンクがある第三者のサービスでも、元データを持つ業者の責任で削除すること」まで提案されていた。例えばFacebookに書き込んだ個人情報が誰かのブログや他のSNSサイトにコピーされていたり、その情報へのリンクが記載されていたりすれば、そのサイトからのデータやリンクの削除も、Facebookの責任で行わなくてはいけないということだ。なるほどこれなら、無かったことにしたい個人データを、本人は苦労せずに、ネット上からさっぱりと「忘れられる」ことができる。
 個人情報保護をEU憲章で基本的人権の1つとしているEUだからこそ、そこまで徹底した対策が考えられたと見ることもできるし、多国籍サービスがヨーロッパをこれ以上席巻しない防波堤にしようとしたという見方もあろう。しかし、現実的にはそこまでのルール化は難しかった。結局、サービス業者側の負担を軽減して、業者は「データの削除を通知するためのあらゆる合理的な措置をとる」ことが「規則案」に記された。さらにこの通知義務についても2013年10月の欧州議会修正案では削除されているのが現状だ。

1-2.「忘れられる権利」と個人データ保護ルールは何を解決するか

こうした「忘れられる権利」をはじめ個人データ保護に関する議論や取り組みを行っているのはEUばかりではない。米国は2012年に消費者プライバシー権利章典を公表、OECDは13年にプライバシーガイドラインを改定、APECは11年に越境プライバシーガイドライン(CBPR)を採択、欧州評議会は個人データ保護条約第108号を改定しようとしている。日本でも個人情報保護法の改正案を策定中で、来年1月の国会提出を目指した作業が行われている最中だ。こうした制度の新設や改定は、いったいどんな具体的問題を解決しようとしているのだろうか。 例えば、近年問題になった個人データ関連事件には次のようなものがある。

〈個人データ収集と利用にまつわる問題事例〉
【事例1】
 あるSNSを利用していた欧州の学生が当該サイトに自分に関するすべての個人データへのアクセスを請求したところ、自覚している以上の個人データがサイトに収集されており、中には削除したはずのデータまでが保存されていた。

【事例2】
 複数のSNSなど情報源を探すことで、匿名にした情報のはずが、いつの間にか本人特定ばかりか、住所や経歴、立ち回り先までもわかってしまう事態が珍しくない。日本でも悪質なストーキングや殺人事件にまで結びつく事例が発生している。

【事例3】
 JR東日本がSuicaの乗降履歴情報を日立に販売していたことが明らかになった(2013年7月)。乗降履歴は匿名化されていて個人情報保護法上は問題ないと解釈していたが、国土交通省から「事前に利用者に説明すべきだった」と注意を受けた。この事実の報道後、データ削除要請に応ずると発表したところ、3ヵ月で希望者は5万人規模にのぼった。

【事例4】
 NTTドコモがスマートフォンアプリで収集したユーザの位置情報データをゼンリンデータコムに提供していたことについて総務省に「同意の表示がわかりにくい」と指摘された(2013年11月)。第三者への情報提供はアプリの利用規則には記載されていたが、多くのユーザはそれに気付いていなかった。

【事例5】
 スマートフォンアプリの中には個人に関連する情報を送信するものがあるが、中には本人同意を得ずに違法に送信するものもある。KDDIの調査によれば100アプリ中、情報送信を行うアプリが63%、そのうち送信情報を正しく説明しているアプリは11%にすぎなかった(2013年2~3月)。

事例1にはサービス業者の情報収集方法が適正か、要請すれば削除が可能か、削除が適切に行われるか、その確認が簡単にできるか、といった多くの問題が含まれている。この事例がEUデータ保護規則案に「忘れられる権利」が盛り込まれた理由の1つになった。
 事例2は、Facebookの「マップ検索」や「顔認識」機能、位置情報表示などが登場してさらに懸念されている問題だ。
 事例3は「匿名化」はどこまで行えば第三者提供に同意が必要ないと考えていいのか、事例4は同意原則の形骸化を防いでプライバシーポリシーを正しく伝えられるか、事例5は加えて違法な情報収集をどう食い止めるかについて問題を提起している。
 これら問題の解決には、人権・プライバシー保護の強化・精緻化とともに、利用価値が高い個人データを公益または企業利益のために上手に利活用するルールがおおいに役立つことは間違いない。また情報の利用や移転がグローバルに行われる今日、ルールは何らかの国際的な基準に基づいて整備されることが望ましい。まだそんな基準は存在していないが、各国の関連法規の改正などは基準策定に至る一過程であるとは言えよう。EUデータ保護規則案は、中でも先進事例の1つとして注目に値する。

コラム:プライバシー侵害や名誉毀損などの予防で心身不調回復効果も?
 ネットでの人権侵害事案に詳しい弁護士の神田知宏氏は、「プライバシー侵害でネット上の情報が削除された事案は多数あるうえ、名誉権侵害、侮辱で削除された記事はその10倍以上あるはず。また、過去の犯罪報道については、更生の利益のための削除例も多数ある」と語る。事実、昨年3月公表の法務省「平成24年における『人権侵犯事件』の状況について(概要)」によると、平成24年中の人権侵犯事件数は、671件(前年より5.5%増加)しており、プライバシー侵害事案が355件,名誉毀損事案が227件にのぼり、両事案で全体の86.8%を占める。人権擁護機関がプロバイダ等に対し削除要請を行ったものは97件(対前年比56.5%増加)と増加中だ(図1)。事件化するのは氷山の一角であり、はるかに多くの問題ケースがあることは想像に難くない。
 また、神田氏は事件に発展するケース以外でも、個人への中傷やプライベート情報が公開されていることで心身不調に陥る人が多いとし、「法制度を考える際には個人の生活の平穏より、中傷する表現の自由を保護しなければならないのか、という議論が必要」だとしている。
図1 インターネットを利用した人権侵犯事件の推移
図1 インターネットを利用した人権侵犯事件の推移

資料提供:法務省

2.日本に望まれる個人データ保護とは

個人データ保護のルールの緻密化がグローバルに進んでいる中で、日本はどのようなルールづくりを行えばよいだろうか。国際社会経済研究所の小泉雄介主任研究員は、EUなどの諸外国の法令比べ、日本の個人情報保護法は規定が緩やかだとして、次のようなポイントを指摘する。

独立的な監督機関(第三者機関)に関する規定がない
罰則規定が緩い
開示・訂正・消去請求権が本人の権利として明示的には認められていない
対象事業者(個人情報取得事業者)の範囲が狭い
特定カテゴリの情報(特定機微情報)の取り扱いに関する規定がない
第三国への個人情報移転を禁じていない

小泉氏はさらに、個人情報保護法の現状と課題について、図2に示すような分析を行っている。

図2 日本の個人情報保護の現状と課題
図2 日本の個人情報保護の現状と課題

資料提供:国際社会経済研究

図にみるように課題は多く、規制が緩めで産業界寄りの米国ルールと、厳格なEUルールとの間でバランスを取る必要もありそうだ。またEUのデータ保護規則案に日本の法規が現状では合致しないため、場合によってはヨーロッパの顧客情報や自社営業所などの従業員データも日本国内に集中できなくなることもありうる。EUのルールでも「十分性が認められる」程度には合致するよう、日本の国内法を変えていく必要があるだろう。また個人情報保護の監督は現在産業各分野で管轄官庁が異なっているが、これを一元化して国際的な窓口にもなりうる第三者機関の設置や、「日本版FTC3要件」(関連するキーワード参照)についてのより精密な議論が必要なことも確実だ。ルール違反の監督や罰金の強化などの厳罰化も重要になろう。まずは、6月に大綱が示され、夏にはパブリックコメントを募集する運びになる個人情報保護法に注目したい。

取材協力 : 小笠原六川国際総合法律事務所 神田知宏氏、国際社会経済研究所 主任研究員 小泉雄介氏

掲載日:2014年6月11日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2014年3月5日掲載分

検索

このページの先頭へ